通过 HTTP 提供更新的 eScan 防病毒服务遭到黑客攻击和感染

黑客利用防病毒服务中的漏洞向毫无戒心的用户分发恶意软件长达五年之久。此次攻击的目标是总部位于印度的 eScan Antivirus 公司，该公司一直通过 HTTP 提供更新，而 HTTP 协议以易受网络攻击而闻名，这些攻击会在传输过程中操纵或破坏数据。Avast 的安全研究人员透露，肇事者可能与朝鲜政府有关，他们实施了复杂的中间人 (MitM) 攻击。这种策略包括拦截来自 eScan 服务器的合法更新并将其替换为恶意文件，最终安装一个名为 GuptiMiner 的后门。

攻击的复杂性涉及一系列感染。最初，eScan 应用程序与更新系统进行通信，为威胁行为者提供了拦截和替换更新包的机会。拦截的具体方法尚不清楚，但研究人员推测，受感染的网络可能促进了流量的恶意重定向。为了逃避检测，恶意软件采用了DLL 劫持，并利用自定义域名系统 (DNS) 服务器连接到攻击者控制的渠道。攻击的后续迭代使用了 IP 地址掩码来混淆命令和控制 (C&C) 基础设施。

此外，该恶意软件的一些变种将恶意代码隐藏在图像文件中，使检测更加困难。此外，攻击者安装了自定义根 TLS 证书以满足某些系统的数字签名要求，确保恶意软件成功安装。令人惊讶的是，除了后门之外，有效载荷还包括开源加密货币挖掘软件XMRig ，这引发了人们对攻击者动机的质疑。

GuptiMiner 行动暴露了 eScan 实践中的重大安全漏洞，包括更新交付缺乏 HTTPS 以及缺乏用于验证更新完整性的数字签名。尽管存在这些缺陷，但 eScan 并未回应有关其更新流程设计的询问。

建议 eScan Antivirus 用户查看 Avast 的帖子，了解潜在感染的信息，尽管大多数知名防病毒程序都可能检测到此威胁。此事件凸显了强大的安全措施在防范复杂的网络攻击方面的重要性。